IT DONGA

당신의 비밀번호를 지켜 준다, OTP

허미혜

당신의 비밀번호를 지켜 준다, OTP (1)

일상생활에서 우리는 비밀번호를 자주 사용한다. 그러나 빈번하게 사용하는 만큼 위험도 크다. 메일이나 홈페이지가 해킹 당할 우려도 있고, 온라인 뱅킹 관련 사고를 당할 수도 있다. 그렇다면 비밀번호를 보다 안전하게 지킬 수 있는 방법은 없을까?

OTP(one-time password)는 로그인할 때마다 그 세션에서만 사용할 수 있는 1회성 비밀번호를 생성하는 보안 시스템이다. 쉽게 말해서, 일회용 비밀 번호라고 생각하면 된다. 일반 비밀번호와는 달리 무작위로 생성되며, 재사용이 불가능하다. 그렇다면 일회용 비밀번호를 이용하는 분야에는 어떤 것이 있으며, 어떻게 이용할 수 있는 것일까?

OTP의 작동 원리

금융기관에서 쓰이는 OTP의 경우, OTP 생성기에서 생성된 비밀번호가 금융회사에 전송되고, 금융회사에서도 직접 OTP를 생산하여 기기에서 생성된 OTP와 동일한 경우에 인증이 되는 원리로 동작한다.

모든 경우의 OTP를 다르게 하기 위해서는 OTP 생성 시에 각 사용자에게만 할당된 비밀키를 이용하여 값을 생성해야 하고, 비밀키는 초기에 OTP 생성기를 제작할 때에 함께 생성되어 인증서버에 저장된다. 사용자의 OTP를 매 회 다르게 하기 위해서는 인증정보(현재시간, 누름횟수 등)를 OTP가 생성될 때에 비밀키와 동시에 연산되도록 한다. 인증정보는 OTP 생성기와 인증서버가 동일하게 유지되기 위해서 OTP를 사용할 때마다 자동 보정되어야 한다. (자료제공: 금융보안연구원)

어떤 종류가 있으며 어디에 사용하나

OTP 생성기는 버튼을 누를 시 6자리의 비밀번호가 나오는 방식, 1분마다 자동으로 다른 6자리의 비밀번호가 나오는 방식, 키패드에 4자리 비밀번호를 입력하면 6자리의 비밀번호를 보여주는 방식이 있다. 소형 단말기 모양의 토큰형이 있고, 신용카드 모양의 카드형이 있다. 휴대폰의 범용가입자식별모듈(USIM)을 기반으로 하는 모바일 OTP(MOTP)도 있으니 다양하다.

OTP는 주로 금융권에서 온라인 뱅킹 등 전자 금융 거래에서 많이 사용한다. 2012년 7월 17일, 금융보안 연구원 OTP통합 인증센터는 2/4분기 통계 결과 OTP 이용자 수가 계속적으로 증가하고 있다고 밝혔다. 전체 거래가 1억 5,138만 9,596건이었으니 꽤 높은 수치다.

금융 뿐만 아니라 기타 사이트 및 인터넷 서비스에서도 이용할 수 있다. 각종 게임 사이트나 포털 사이트 등에서 OTP를 이용하고 있고, 생성기의 역할을 하는 각각의 애플리케이션(이하 앱)도 제공되고 있다. PC인증, 출입통제에서 사용하기도 한다.

어떻게 이용하나

네이버에서는 2012년부터 ‘네이버 OTP’ 서비스를 제공하고 있다. PC용 네이버 사이트와 스마트폰의 네이버 앱만 있으면 얼마든지 서비스를 이용할 수 있다.

당신의 비밀번호를 지켜 준다, OTP (2)

먼저 네이버 아이디와 비밀번호로 로그인한 다음 ‘내 정보’ 페이지로 이동한다. 상단의 ‘내 정보 보호’ 탭을 보면 ‘OTP’라고 쓰여 있다. 그것을 클릭하면 네이버 OTP 설정을 시작하는 페이지가 뜬다. ‘OTP 로그인 사용하기’라고 쓰인 녹색 버튼을 클릭한다.

 당신의 비밀번호를 지켜 준다, OTP (9)

안전한 OTP 설정을 위해 비밀번호를 한 번 더 입력하라는 메시지가 뜬다. 네이버 비밀번호를 입력하면 된다.

 당신의 비밀번호를 지켜 준다, OTP (3)

첫 번째 단계는 OTP 휴대폰 확인 단계이다. 스마트폰 종류와 스마트폰 번호를 입력하고 인증번호 받기 버튼을 누르면 인증번호가 전송된다. 전송된 인증번호를 입력하고 ‘다음’ 버튼을 누른다.

당신의 비밀번호를 지켜 준다, OTP (4)

두 번째 단계는 OTP를 설치하는 단계이다. 서비스를 이용하기 위해서는 OTP 기능이 탑재된 네이버 앱이 필요하다. 앱스토어 또는 안드로이드 마켓에서 앱 내려받기, QR코드를 스캔하기, SMS를 통한 링크 전송 등의 방법으로 앱을 스마트폰에 내려 받는다.

당신의 비밀번호를 지켜 준다, OTP (5)

세 번째 단계에 들어가기 이전에 내려받은 앱을 확인하자. 네이버 앱 하단에서 ‘더보기’ 버튼을 누르면 ‘설정’ 탭이 있다. ‘설정’ 탭에서 ‘네이버 OTP’를 누른다.

당신의 비밀번호를 지켜 준다, OTP (6)

‘네이버 OTP’ 버튼을 누르면 OTP 인증번호와 단말 일련 번호가 뜬다. 이것을 PC의 인증화면에 입력하면 된다.

당신의 비밀번호를 지켜 준다, OTP (7)

세 번째 단계는 OTP 인증 단계이다. 네이버 앱 화면에 뜨는 단말 일련번호와 OTP 인증번호를 입력하고 ‘확인’ 버튼을 누른다.

 당신의 비밀번호를 지켜 준다, OTP (8)

네 번째 단계는 나중에 OTP 서비스를 해지하는 경우 해지 코드를 받을 수 있는 비상 연락용 메일 주소를 입력하는 단계다. 네이버 메일 계정은 사용할 수 없다. 회원정보에 등록된 기존의 본인 확인용 메일을 사용하거나, 새로운 메일 주소를 등록할 수 있다.

 당신의 비밀번호를 지켜 준다, OTP (10)

다섯 번째 단계를 끝으로 OTP 신청이 완료된다. OTP 사용 스마트폰 번호와 비상 연락용 메일을 확인한 후에 ‘확인’ 버튼을 누르면 모든 과정이 끝난다.

OTP는 이처럼 다양한 서비스를 구축하며 차츰 발전하고 있다. 최근 각종 보안 사고가 잇따르고 있는데, OTP를 잘만 사용한다면 유용한 문제 해결책이 될 수 있다. 앞으로 OTP가 어떻게 발전할 것인지, 그리고 얼마나 많은 역할을 할 것인지 기대된다.

글 / IT동아 허미혜(wowmihye@itdonga.com)

이전 다음